Orientering av talen:
Nina Kollars, også kjent som Kitty Hegemon, skriver for tiden en bok om hackeres bidrag til nasjonal sikkerhet. Hun er statsviter som studerer brukeres teknologiske tilpasning til ulike kybernetiske enheter. Kollars er professor ved Institutt for strategiske og operasjonelle studier ved Naval War College og har jobbet ved den føderale forskningsavdelingen ved Library of Congress, Institutt for afroamerikanske studier ved Harvard University, Verdensbanken, en fabrikk for antirefleksbelegg og som nattfrivillig for BSides. Som hobby ledet hun en gang DC Cigars, Scotch og Strategy-teamene og er fortsatt en sertifisert bourbonprodusent.
Hei, jeg heter Kitty, men folk på jobb kaller meg ofte Nina. Før jeg begynner presentasjonen min, vil jeg si at meningene som uttrykkes her ikke nødvendigvis representerer meningene til marinen, forsvarsdepartementet eller den amerikanske regjeringen. Jeg må si dette fordi jeg teknisk sett er en føderal ansatt, ettersom jeg jobber som professor ved Naval War College i Department of Strategic and Operational Studies. Det betyr at jeg studerer nye teknologier og hvordan de påvirker krigføring og forsvar, som vil inkludere elementer av cyber. Det er en av grunnene til at jeg følger DefCon-fellesskapet. Det jeg skal snakke om i dag har imidlertid ingenting med militæret å gjøre.
Så, i august i fjor kjøpte jeg en brukt Nespresso-maskin, og jeg ville komme hit og fortelle dere hva som skjedde etter det. Som dere vet, kjøpes kaffemaskiner og kapsler stort sett på nett. Det finnes noen få Nespresso-butikker rundt om i landet, men generelt kan man kjøpe kaffe til Nespresso-maskiner direkte fra selskapets nettside. Etter å ha kjøpt en brukt maskin, innså jeg at kaffekapslene på Nespresso-nettstedet er ganske dyre, og bestemte meg for å se etter en billigere selger.
Det viste seg at kaffen kunne kjøpes mye billigere på eBay – prisen på kapslene var omtrent halvparten av hva jeg ville ha måttet betale hvis jeg hadde kjøpt den direkte fra Nespresso. Den eneste ulempen var at jeg måtte kjøpe minst 200 kapsler på én gang, men siden jeg drikker mye kaffe, plaget ikke dette meg så mye, og jeg la budet mitt på et parti med kapsler. Da auksjonen var over, så jeg at jeg hadde vunnet og betalte for kjøpet via PayPal.
Omtrent en uke senere ble varene levert. Tenk deg min overraskelse da det, sammen med kaffeeskene, kom en eske med en splitter ny kaffemaskin. Det var den mest populære kompaktmodellen av Nespresso Pixie-kaffemaskinen, priset til 280 dollar, som bruker små kaffe-"tabletter" som koster 70 cent stykket.
Jeg trodde jeg rett og slett hadde gjort en feil da jeg la inn bestillingen, og gikk tilbake til eBay for å sjekke om jeg hadde klikket på noe unødvendig og dermed kjøpt denne tingen ved et uhell. Men jeg fant ingenting av den typen.
Så så jeg på klistremerkene på eskene og så at både kapslene og kaffemaskinen kom fra samme avsender, og det merkeligste var at avsenderen var Nespresso selv. Jeg bestilte imidlertid ikke produktet fra produsenten, men fra en tredjepart!
Jeg gikk tilbake til eBay for å se på transaksjonsdetaljene og sammenligne dem med fakturaen, og fant ut at selgerens navn på eBay, la oss kalle henne Sue fra Chicago, ikke lignet på avsenderens navn på Nespresso-kontoen, la oss kalle ham George fra Poughkeepsie. I tillegg hadde Sue fra Chicago null selgervurderinger og hadde bare opprettet kontoen sin et par uker før bestillingen. Det eneste hun solgte var Nespresso-kaffe.
Jeg syntes det hørtes ut som svindel, så jeg bestemte meg for å undersøke saken og ringte Nespresso. Motvillig, fordi jeg er litt grådig og gjerne skulle ha beholdt maskinen. Jeg forklarte kundeservice at jeg ikke hadde bestilt maskinen, jeg hadde bare bestilt kapslene, og at jeg ikke hadde kjøpt dem fra Nespresso, men fra en tredjepartsselger på eBay. De bekreftet at begge varene i bestillingen min faktisk hadde blitt belastet George med Poughkeepsies kredittkort.
Jeg tenkte jeg skulle ringe denne George som hadde sendt meg en så fin gave for å oppklare ting, men kundeservicen ville ikke gi meg nummeret sitt. Jeg mistenkte fortsatt en slags svindel, men jeg hadde ingen måte å vite hvem som vant i denne situasjonen. Så jeg sa til Nespresso: «Vær så snill å send meg en forhåndsbetalt returetikett i posten, og når jeg mottar den, sender jeg gjerne maskinen min tilbake.» Det var et triks fra min side, for alle vet hvor motvillige produsenter er til å ta tilbake produktene sine.
Kundeservicedamen skrev ned opplysningene mine, sendte dem til svindelavdelingen og ba meg følge med på posten min. Hvis selskapet ville returnere kaffemaskinen som jeg hadde fått tilsendt ved en feiltakelse, ville svindelavdelingen sende meg en forhåndsbetalt fraktetikett, slik at jeg slapp å betale for pakken selv.
Som du ser, har jeg fortsatt kaffemaskinen et år senere. Men samvittigheten min er ren – jeg anmeldte svindelen, og jeg beholdt maskinen. Jeg forsto imidlertid ikke hva som egentlig skjedde, og dette bekymret meg stadig.
Så jeg googlet litt og fant et diagram i eBays sikkerhetsseksjon som heter Trianguleringssvindel. Det kalles det fordi det er tre parter involvert. Det hjalp meg å forstå hva som kunne ha skjedd i mitt spesifikke tilfelle.
Hele poenget med denne svindelen er å ta ut penger fra et kredittkort ved å bruke en forbindelse mellom selskapet og det siste elementet i ordningen – muldyret, som de ofte kalles. Dette er personen som veksler pengene.
Det er tre deltakere i denne ordningen:
- en intetanende kunde som legger inn en bestilling på en auksjon eller e-markedsplass ved hjelp av en eller annen form for PayPal-kreditt, debet eller betalingsmiddel;
- en svindelforhandler som mottar en bestilling og deretter legger inn bestillingen på et ekte produkt på et legitimt netthandelsnettsted ved å bruke et stjålet kredittkort til betaling;
- et legitimt netthandelsnettsted som behandler en svindlers bestilling.
Svindleren bruker oftest en legitim og anerkjent selger som jobber hjemmefra i planen sin. Selgeren er kanskje ikke engang klar over at de er en del av et svindelnettverk, og noen av disse selgerne har en solid salgshistorikk. Svindelaktige arbeidsgivere legger ofte ut annonser for at en selger skal selge produktet sitt for en viss prosentandel, vanligvis 30 %, og mange selgere samtykker i slikt arbeid.
Det er arbeidsgiveren som er den virkelige kriminelle, i besittelse av den stjålne kredittkortinformasjonen, som gir selgeren en liste over «sine» varer til salgs, inkludert fullstendige produktbeskrivelser.
Selgeren plasserer varene på kontoen sin på den elektroniske markedsplassen. Legitime kunder kjøper varene, og selgeren sender informasjon om bestillingen til arbeidsgiveren sin.
Arbeidsgiveren legger inn den samme bestillingen på et legitimt nettsted, betaler for den med et stjålet kredittkort og overleverer produktsporingssystemet til selgeren.
Selgeren overleverer trackeren til kunden. Nå sendes den falske bestillingen til kunden fra den legitime nettsiden til produsenten av produktet.
Kunden som uventet mottok de stjålne varene og det legitime selskapet som produserte dem er ofre. Hvis svindelen oppdages, vil det legitime nettstedet utstede en tilbakeføring eller miste pengene mottatt for bestillingen. Nettstedet kan kontakte kunden for å returnere de stjålne varene, eller kunden vil rapportere det, slik det skjedde i mitt tilfelle. Kjøperen kan også sende inn et svindelkrav til banken sin mot selgeren.
Det finnes imidlertid et annet offer – personen hvis kredittkort ble stjålet. Han vet ingenting om transaksjonen før han mottar kredittkortutskriften sin. Naturligvis vil han prøve å bestride kjøpet, og noen ganger resulterer dette i en tilbakeføring fra det legitime nettstedet.
Vanligvis vil svindleren representere et stort selskap, i dette tilfellet Nespresso, og åpne en konto der. Disse selskapene har et strømlinjeformet leveringssystem og et enkelt kontosystem som ikke inneholder komplekse sikkerhetskontroller. Deretter oppretter svindleren, hvis han jobber alene og er både arbeidsgiver og selger, en eBay-konto, en falsk profil, og begynner å selge ting veldig billig. Når auksjonen er over, sender den intetanende kjøperen pengene sine til eBay og blir et muldyr – takket være den ærlige kjøperen får svindleren pengene han trenger.
Men husk at svindleren selger en vare de faktisk ikke eier. Og eBay-kjøpsprosessen er ikke fullført før fraktseddelen er lukket. Det betyr at svindleren deretter bruker kredittkortet til å kjøpe varen direkte fra produsenten, og trekanten er fullført. Nettstedet genererer et fraktvarsel, og alle er fornøyde. Svindleren tar pengene fra varen, betaler eBay et gebyr og betaler for ytterligere varer, i mitt tilfelle kapslene til kaffemaskinen. Det er en sømløs trekant, og kjøperen aner ikke at de er en muldyr, alt de vet er at de fikk varen sin til en kupppris. Incentivet for at svindelen skal fortsette er at alle tier. Med mindre kjøperen selvfølgelig er meg, som fikk en espressomaskin jeg ikke bestilte og virkelig ville vite hvorfor.
Jeg hadde to versjoner av hva som skjedde. Den ene var en ordrebehandlingsfeil, der noen feilaktig kopierte en ekstra linje fra et Excel-regneark på produsentens nettsted, og de sendte meg en ekstra kaffetrakter. Den andre var at svindlerne bare ville kjøpe kjærligheten min! Kanskje denne svindeltrekanten er en så skjør ting, og alle disse kontoene og «brente» kredittkortene er så delikate ting, at svindleren prøvde å gjøre meg så glad at jeg ikke ville tvile på noe og fortsette å kjøpe produktet hans.
Så det smarteste jeg kunne gjøre etter å ha fått en gratis Nespresso-maskin var å starte min egen undersøkelse ved å kjøpe mer kaffe! Jeg vet at du synes jeg er en forferdelig person, men ... for det første kalte jeg fortsatt talen min for «tilståelser» av en eller annen grunn, og for det andre antok jeg bare at det var svindel, men jeg var ikke sikker. Jeg vet ikke hvor stor denne operasjonen er, så jeg trenger mer data.
Mer spesifikt ville jeg ikke bare ha mer data fra én selger, jeg ville vite om det var en hel rekke svindlere, som «nigerianske prinser» eller gavekortsvindlere, som opererte her. Kort sagt, jeg trengte en måte å måle omfanget av det som foregikk.
Så jeg kommer opp med en rekke spørsmål for å finne ut hvem disse tyvene er. For å være tydelig, eBay er fullt av tyver. Jeg ville bare finne disse. Så, har disse svindlerne andre kontoer, kan jeg finne dem? Hvor raskt utløper disse kontoene? Og det viktigste spørsmålet er, kan jeg lure dem til å gjøre den samme feilen to ganger? Som: «send meg flere gratis ting?»
Ved å bruke eBays auksjonssøkeverktøy og Starter-kontoen som mal, prøvde jeg å finne en annen nylig opprettet konto med null vurderinger for salg av Nespresso. Så jeg trengte tre ting: at de solgte Nespresso, at de hadde en null vurdering på 3, og at kontoen ble opprettet relativt nylig.
Jeg trodde at svindlere ikke ville prøve å gjøre hver av annonsene sine unike, men ville foretrekke malbeskrivelser og identiske bilder for flere selgerkontoer. I tillegg, hvis disse «trekantene» er skjøre nok og raskt «blir avslørt», måtte jeg lete etter slike annonser hver dag.
Siden eBay lar deg automatisere søkene dine, satte jeg opp min egen mal for å kjøpe 200 Nespresso-kapsler til 99 dollar. Jeg satte den tredje betingelsen til å være kaffemaskiner, men tre parametere skaper et tvilsomt databasseng, så jeg holdt meg til å bare søke etter kapsler. Jeg mottok en rapport om søkeresultatene mine via e-post, og jeg måtte sjekke opptil 100 e-poster hver dag. Det var litt vanskelig i starten, da det tok en stund å finne en oppføring som nøyaktig samsvarte med kriteriene mine. Mange selger kaffe, men 200 Nespresso-kapsler til 99 dollar fra en selger med null vurderinger og en ny konto er en sjelden vare.
Hvis du ser på dette lysbildet, vil du se stjerner øverst. Vel, dette er ikke selgerens vurdering, som du kanskje tror, men folks anmeldelser av dette produktet. Men når kjøpere ser slike stjerner, føler de seg roligere og forestiller seg at dette er selgerens vurdering. Faktisk, for nye kontoer, er vurderingen skrevet med liten skrift helt nederst i annonsen. For å se den, samt for å finne ut kontoopprettingsdatoen, må du klikke på en egen knapp, noe som tar tid.
Den gode nyheten er at eBays nettsted hjelper meg i søkene mine – selv om klikkene mine ikke gir meg resultatene jeg leter etter, overvåker det meg og legger et utvalg av oppføringer nederst på siden: «vi fant en lignende vare for deg, du er kanskje interessert i den.» Etter hvert fant jeg kontoene jeg var interessert i, og som en ekte forsker opprettet jeg et regneark for å spore hver unike konto, med datoen den ble opprettet, tidspunktet den endret vurderingen, antall solgte varer og salgsbeløpene.
Etter det valgte jeg to kontoer som ble opprettet etter hverandre innen seks dager, og foretok to separate kjøp for å se om de ville sende meg flere varer som ikke var inkludert i bestillingen.
Så, etter en uke fikk jeg 200 kaffekapsler pluss ytterligere 200 kapsler, og etter ytterligere 6 dager – 200 kaffekapsler og en helt ny melkeskummer til cappuccino verdt 119 dollar. Det var en veldig nyttig gave, fordi jeg er en cappuccino-person, jeg liker at kaffen min har skum. Uansett, jeg byttet fra vanlig kaffe til cappuccino, men enda viktigere, jeg innså at jeg hadde funnet disse svindlerne. I annonsene sine brukte de de samme bildene og de samme beskrivelsene av produktet. Og så begynte jeg å korrespondere med dem. Jeg skrev dem alt mulig tull om produktet, spurte om forskjellige kaffeprodukter, forskjellige typer kaffe, noen ganger sendte jeg bare hilsener. Men de svarte meg aldri.
Jeg sjekket også eBays svindelside for å prøve å rapportere disse kontoene til dem, fordi jeg innså at det ikke er rettferdig, jeg burde ikke være involvert i dette, ikke sant? Men det viser seg at en kjøper ikke kan rapportere svindel på eBays nettsted hvis de faktisk har mottatt varen. Det finnes et skjema for «Jeg mottok ikke varen jeg bestilte» eller «Jeg mottok en skadet vare», men det finnes ingenting som «Jeg mottok en ekstra vare og vil rapportere den». Så jeg ga opp å rapportere disse svindlerne til eBay.
Så jeg fortsatte etterforskningen min, fant to lignende kontoer til og la inn to bestillinger til. Jeg mottok 2 + 2 kaffekapsler igjen, og så skjedde det noe interessant – svindleren skrev et brev til meg.
«Hallo, venn! Først og fremst takk for at du valgte å kjøpe produktet mitt. For det andre beklager jeg at produktet ikke er i beste stand, og at jeg ikke kunne sende det til deg, fordi jeg alltid prøver å selge bare gode ting. Moren min er på sykehuset, men snart skal jeg prøve å finne et annet produkt i god stand å sende det til deg. Jeg må dra til sykehuset for å være sammen med moren min, så jeg håper du vil forstå situasjonen min og la meg kansellere bestillingen. Takk, og Gud velsigne deg!»
For en søt fyr, ikke sant? Han kansellerte bestillingen, og jeg fikk pengene tilbake. Kontoen hans ble stengt en uke senere. Han var en veldig snill svindler, og jeg liker å tro at moren hans har det bra. Jeg skremte ham sikkert bort med ønsket mitt om å få gratis ekstra kaffe med jevne mellomrom.
Så brukte jeg noen timer på å lete etter et verktøy. Min ville fantasi antydet at kanskje noen hadde laget noe som på engelsk kunne kalles en gjetter – en «grammatikkfeilgenerator», noe sånt som en dårlig versjon av Google Translate som spesifikt forvrenger oversettelsen for et fremmedspråk. Det viste seg at et slikt verktøy ikke finnes, så din oppgave er å utvikle noe lignende!
Jeg begynte å spørre venner som snakket andre språk om de hadde opplevd noe lignende, noen av dem syntes spørsmålene mine var rasistiske, så jeg sluttet å lete. Saken er at jeg innså at svindlere prøver å late som om de har dårlige språkferdigheter for å lure deg, og med vilje legger ut analfabetiske annonser på engelsk, og jeg burde finne dem.
Uansett, kaffebransjen min har kommet ut av kontroll, og jeg føler meg skyldig. Kjøkkenet mitt er en total katastrofe, så det er på tide å slutte å spille dette spillet. Jeg trengte ikke så mye kaffe, jeg betalte i bunn og grunn bare 100 dollar for å samle informasjon om en selgers konto. Hver gang jeg betalte de pengene, ville jeg vite så mye som mulig om disse menneskene.
Jeg er imidlertid ikke rik nok til å stadig drive med så dyr forskning. Her er resultatet av aktivitetene mine, oppsummert i en tabell.
Totalt 5 kjøp, 1 retur, totalt 1200 kaffekapsler mottatt, 1 melkeskummer, 1 kompakt kaffetrakter. Jeg brukte 391,9 dollar, den totale verdien av varene jeg mottok var omtrent 939 dollar. I oktober tok jeg all informasjonen jeg hadde samlet inn, fakturaer, kontoinformasjon og sendte den til FBI sammen med eventuelle trykte dokumenter jeg hadde. Jeg lurte på om de ville gjøre noe med det. Jeg sendte også funnene mine til eBay og alle andre som kunne være interessert. Jeg har fortsatt ikke hørt tilbake fra FBI, men etter 30 dager så det ut til at kaffesvindelaktiviteten hadde stilnet. Kanskje noe hadde skjedd. Jeg klarte ikke å finne ut hvem disse menneskene var. Jeg ville virkelig avsløre en stor kriminell ring, som marokkanske kredittkorttyver eller noe, men det skjedde ikke. Men dette er ikke en heroisk historie, ikke sant? Dette er min tilståelse.
Det er i bunn og grunn alt jeg lærte om eBay-trekantsvindelen. Da jeg begynte å fortelle folk denne historien og forklare hvordan den fungerer, fikk jeg ofte høre at det var en offerløs forbrytelse. Men når du tenker over det, innser du at det ikke er sant, det finnes ingen offerløse forbrytelser. Jeg lærte veldig lite om George fra Poughkeepsie, så vel som om de andre selgerne, men jeg fant ut at de alle var pensjonister eller nær pensjonsalderen. Dette er en ganske sårbar gruppe mennesker. Og de opptrer som ofre som ikke klarer å redusere skaden de har forårsaket, de fleste av dem vet ikke engang hva som skjer i deres navn. Folk som har fått kredittkortene sine stjålet, begynner å bestride dem når de oppdager ulovlige belastninger. Og de som er på slutten av denne kjeden er ikke produsentene, men disse selgerne, eldre mennesker som pengene som ble stjålet av svindleren kan inndrives fra.
Som nasjon har vi ikke gått langt nok i å beskytte disse menneskene. Bedrifter eller store forhandlere er ikke like ødelagte av denne typen svindel som de er av eldre mennesker. Det triste er at hvem som helst lett kan bli medskyldige i denne typen ordninger. Det bør være en viss terskel for rabatter for å motivere kjøperen, under hvilken svindelen begynner. Dette er en skikkelig gullgruve for svindlere. Men eBay bryr seg ikke, Nespresso bryr seg ikke, for når du kjøper til kupppriser, fortsetter du å kjøpe, og de får sin andel eller mer salg.
Du oppfordres til å delta i svindel fordi alle er begeistret for rabattene og gratisvarene. I realiteten selges imidlertid alt dette til markedsverdi, og storselgerne er beskyttet mot tap av forsikring som blant annet dekker svindel med stjålne kredittkort. De vil bli uskadd hvis skylden kan legges på personen som kjøpte varene fra dem for videresalg – i dette tilfellet John fra Poughkeepsie, eller personen hvis kredittkortinformasjon ble stjålet.
Så egentlig er den eneste personen som kan stoppe dette deg eller meg. Og jeg sluttet. Jeg skal ikke gjøre det lenger. Det er ikke greit. Alt jeg har igjen er min tilståelse og løfte om å slutte å kjøpe superbillige ting. Og jeg har mye kaffe igjen. Kanskje jeg kan gjøre én god ting til og auksjonere bort denne pent brukte, fantastiske Nespresso-maskinen.
Budgivning er forresten en forferdelig idé. Det starter så snart jeg legger ut kunngjøringen på Twitter-kontoen min. Bare gå til nettsiden og legg inn budgivningen din. Kun kontanter vil bli akseptert. Resultatet av budgivningen vil bli annonsert i morgen klokken 10, og vinneren vil kunne komme til Tamper Evident-campus og hente kaffemaskinen sin. Ikke vær dum, og ikke engang tenk på å legge inn maksbudet og deretter ikke kunne komme tilbake for å hente det. Alle inntektene vil gå til Diana-initiativet. Jeg lover at jeg vil overvåke alle disse transaksjonene for å sikre absolutt åpenhet.
Hvis ingen vil delta, vel, det er DefCon, og alt kan skje. Du kan se min virkelige Twitter-konto på det siste lysbildet, så skriv gjerne en tweet, tusen takk!
Auksjonen starter på 1 dollar, så jeg legger dette ut med en gang. Takk igjen, dere er fantastiske!
Noen annonser 🙂
Takk for at du bor hos oss. Liker du artiklene våre? Vil du se mer interessant innhold? Støtt oss ved å legge inn en bestilling eller anbefale til venner, , en unik analog av entry-level servere, som ble oppfunnet av oss for deg: (tilgjengelig med RAID1 og RAID10, opptil 24 kjerner og opptil 40 GB DDR4).
Dell R730xd 2x billigere i Equinix Tier IV datasenter i Amsterdam? Bare her i Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Lese om
Kilde: www.habr.com
